WordPress: grave falla scovata in Elementor Pro

Il ricercatore di sicurezza informatica Jerome Bruandet di NinTechNet ha scoperto e comunicato che un gruppo di ignoti cybercrminali ha sfruttato una grave falla nelle vecchie versioni di Elementor Pro, un popolare plugin per WordPress usato da oltre 11 milioni di siti, in combinazione con il plugin WooCommerce.

WordPress: vecchie versioni di Elementor Pro a rischio

Elementor Pro è un plugin per WordPress che permette di creare siti dall’aspetto professionale, senza necessità di conoscere linguaggi di programmazione vari e con cui si può creare uno shop online tramite il modulo WooCommerce.

Dopo aver ottenuto l’accesso come amministratore, i malintenzionati che sono alle spalle della cosa possono prendere il controllo del sito ed eseguire qualsiasi attività, compresa l’installazione di malware.

La falla, relativa alla versione 3.11.6 e precedenti di Elementor Pro, consente agli utenti autenticati, come i clienti del negozio o i membri del sito, di modificare le impostazioni del sito e addirittura di prendere il controllo totale del portale.

Come anticipato, la vulnerabilità è stata già sfruttata da ignoti cybercriminali per portare i visitatori dei siti verso un dominio infetto e installare una backdoor, la quale è stata adoperata per prendere il controllo del sito, rubare i dati e scaricare altri malware.

Alla luce dei fatti, è necessario aggiornare il plugin il prima possibile, installando l’ultima relase che è la 3.12.1.

Ovviamente per evitare di incappare in problemi di sicurezza informatica è altresì bene installare sui propri dispositivi un buon software antivirus, come nel caso di Norton 360 Premium che è compatibile con più sistemi operativi e molto spesso viene proposto a prezzo scontato.